Å TA SEG BETALT I KYBERROMMET

---

Innholdsfortegnelse

• Fase 1: Utenfor nettet
• Fase 2: Betalingsinstruks
  • Debetoverføring
  • Kreditoverføring
  • Akkumuleringssentraler
• Fase 3: Elektroniske kontanter
• Hva vil skje?

---

WWW (World Wide Web) åpnet døren til Internett for de som har noe å selge. Nå ønsker de å ta seg betalt. Den neste store utviklingen på Internett vil være effektive, rimelige og sikre betalingstjenester. Det er en umulig oppgave å forutsi hvor stor omsetningen på nettet vil bli estimatene for år 2003 varierer fra 30 milliarder kroner (McKinsey) til 3000 milliarder kroner (Credit Card Management).

I dag foregår betalingen i all hovedsak utenfor nettet. Men det finnes allerede et knippe teknologier og forslag til løsninger som skal sørge for at vi skal kunne betale for oss i kyberrommet. I første omgang vil disse bli tatt i bruk til elektronisk formidling av betalingsinstrukser, mens selve overføringen fortsatt vil skje utenfor nettet. På lenger sikt vil vi få elektroniske kontanter slik at betaling i sin helhet kan foregå på nettet. Nedenfor beskrives de ulike løsningene nærmere.

Fase 1: Betalingstransaksjonen gjøres utenfor nettet

På Internett finnes allerede nok av ting til salgs. Blomster, programvare, CD-plater og bøker annonseres i WWW. Det meste kan bestilles online ved å fylle ut kuponger i WWW som sendes som e-post. Blomster, CD-plater og bøker må sendes kjøper med «fotpost», men når det dreier seg om informasjonsprodukter som programvare og online-tjenester kan også leveransen skje over nettet. I 1994 ble det via Internett solgt varer og tjenester for i underkant av 70 millioner kroner.

Så langt har imidlertid selve betalingen for varen eller tjenesten i hovedsak foregått på tradisjonell måte. Det kan f.eks. dreie seg om forhåndsbetaling (abonnement), betaling ved leveranse (postoppkrav) eller at varen eller tjenesten betales på etterskudd etter regning.

Ulempen er at slik betaling forutsetter at det etableres et avtaleforhold mellom kjøper og selger. Slike avtaler er det kun hensiktsmessig å inngå dersom det dreier seg om store innkjøp eller ved kunde/selger-forhold av lengre varighet. Det tar lang tid å få oppgjør, og kostnadene ved oppgjøret er for store til at denne formen egner seg for spontankjøp, eller kjøp som koster noen få kroner.

Avhengig av hvor uformelt avtaleforholdet er kan det for kjøper og selger eksistere varierende grad av usikkerhet med hensyn til den andres identitet eller intensjoner om å stå ved avtalen. Denne formen for elektronisk handel er derfor i ferd med å bli avløst av fase 2.

Fase 2: Elektronisk formidling av betalingsinstruks

I stedet for å betale på tradisjonell måte kan kjøper sende selger en elektronisk melding som gir instruks om betaling. Selve betalingen vil bli ordnet utenfor nettet, men nå vil betalingsformidleren sørge for at de nødvendige overføringer finner sted, slik at det for brukeren virker som om betalingen ordnes over nettet.

Avhengig av om instruksen går via selger eller via betalingsformidler får vi det som kan kalles for debetoverføring eller kreditoverføring.

• Debetoverføring («sjekkmodellen»):
  Kjøper sender betalingsanvisning til selger, som så videresender denne til betalingsformidler. Betalingsformidler (f.eks. et kortselskap) trekker deretter beløpet fra kjøpers konto og krediterer selger. Denne modellen kjenner vi igjen fra bruken av sjekk og tradisjonelle betalingskort.
• Kreditoverføring («giromodellen»):
  Her sender kjøperen en betalingsordre til betalingsformidler, som så foretar oppgjør ved å trekke beløpet fra kjøpers konto og kreditere selger. Denne modellen tilsvarer tradisjonelle post- og bankgirotjenester.

Debetoverføring

Den forretningsmodellen som enklest lar seg implementere tar utgangspunkt i debetoverføring. Den kan realiseres ved at kjøper sender sitt betalingskortnummer til selger i elektronisk post, og at selger (som vi forutsetter har inngått en avtale med kortselskapet) henvender seg til kortselskapet med dette nummeret og ber om at pengene blir overført til sin konto.

Å sende slike kortnummer i klartekst som e-post er imidlertid ikke å anbefale av sikkerhetsgrunner. For å bruke denne metoden bør det derfor finnes en sikker kanal mellom kjøper og selger hvor meldingen kan sendes kryptert.

Slike sikre kanaler er allerede tilgjengelig på Internett. De er bygget inn i populære programpakker som Netscape og Mosaic. For bestillinger som gjøres gjennom WWW på Internett kan man benytte SSL (Secure Socket Layer), og SHTTP (Secure Hyper Text Transfer Protocol).

Fordelen med denne løsningen er at WWW-klienter som støtter SHTTP og SSL allerede er svært utbredt. Ved å sette opp en WWW-tjener som støtter disse protokollene kan man motta betalingsinstrukser fra alle som har et betalingskort.

Det er imidlertid en del sikkerhetsproblemer knyttet til denne formen for debetoverføring på nettet. SHTTP og SSL-protokollene støtter ingen form for autentisering, og selger kan derfor ikke vite om kjøper har rett til å disponere den kontoen som blir belastet. Den risikoen som dette impliserer blir vanligvis plassert hos selger ved at selger må finne seg i å bære risikoen ved transaksjoner som ikke er bekreftet med kjøpers fysiske signatur. Selger må altså kalkulere med et visst tap grunnet svindel i sin prismodell.

De systemene som benyttes internasjonalt for å støtte om denne typen handel benytter seg som en følge av amerikanske eksportrestriksjoner av kryptering basert på en nøkkel på 40 bit. Enkelte er skeptiske til sikkerheten i et system med såpass korte nøkler.

Et alvorligere sikkerhetsproblem med debetmodellen er at selger får kunnskap om kjøpers kortnummer. Det vil dermed bli mulig å etablere «butikker» som tilsynelatende leverer varer til avtalt pris, men hvis viktigeste formål er å akkumulere en stor mengde kortnummer med tanke på senere misbruk.

Mesteparten av den handel som i dag skjer på Internett gjøres imidlertid etter denne modellen, og da basert på at kjøper sender nummeret på sitt debet- eller kreditkort til selger sammen med sin bestilling av varer. Selger videresender disse som betalingsinstrukser som behandles satsvist av betalingsformidler.

Kreditoverføring

Mange av de sikkerhetsmessige innvendingene knyttet til debetmodellen lar seg løse i elektroniske betalingssystemer basert på kreditoverføring. Fordi det er betalingsformidler (og ikke selger) som mottar betalingsordren får ikke selger adgang til følsom informasjon som kjøpers kortnummer. Og fordi betalingsformidler deltar aktivt i transaksjonen blir det også mer naturlig for denne å opptre som tiltrodd tredjepart som kan autentisere kjøper og selger for hverandre.

Elektronisk kreditoverføring er imidlertid mer komplisert å realisere fordi den forutsetter at betalingformidler er i stand til å motta elektroniske betalingsordrer og behandle disse i sann tid.

Høsten 1995 var det spesielt tre alternative protokoller for kreditoverføring under utvikling:

• STT (Secure Transaction Technology)
  Kortselskapet Visa utvikler i samarbeid med Microsoft STT (Secure Transaction Technology) som skal støtte en slik tjeneste. Betalingsformidling basert på STT med Visa i rollen som betalingsformidler forventes å bli tilgjengelig på Microsoft Network våren 1996. STT vil sannsynligvis støtte tilleggstjenester som dekningskontroll og automatisk debitering, og er derfor en svært spennende protokoll med tanke på å få etablert en tjeneste for kreditoverføring på Internett.
• SEPP (Secure Electronic Payment Protocol)
  Dette er et lignende system som utvikles av IBM i samarbeid med Mastercard.
• SCS (Secure Courier System)
  MasterCard utvikler i samarbeid med Netscape SCS (Secure Courier System) som tilbyr forsterket kryptering og kreditoverføring på toppen av SSL. SCS er imidlertid et langt enklere system enn STT og SEPP, og inneholder i motsetning til de to andre ikke støtte for autentisering.

De ryktes nå at alle disse alternative protokollene vil bli erstattet av en fjerde:

• SET (Secure Electronic Transactions)
  Svært lite vites om denne, men IBM, Microsoft, Netscape, Visa og Mastercard nevnes alle som sponsorer, i tillegg til mer spesialiserte teknologiselskaper som Verifone og CyberCash.

Akkumuleringssentraler

I de modellene vi hittil har sett på fører hver transaksjon til at betalingen blir overført mellom kjøpers og selgers kontoer. Med de prisene som banker og kortselskaper har satt på slike tjenester egner disse modellene seg dårlig for transaksjoner som dreier seg om små beløp, såkalte «mikrotransaksjoner» (f.eks. kjøp av informasjon for noen få kroner).

En løsning i slike tilfelle kan være at en tiltrodd tredjepart påtar seg å samle og godkjenne betalingen mellom ulike kjøpere og selgere. Disse betalingstransaksjonene akkumuleres og avregnes mot hverandre, og etter en viss tid (f.eks. ved slutten av måneden) gjøres de akkumulerte kontoene opp med hverandre. Selve oppgjøret kan ordnes i samarbeid med en bank eller kortselskap som kreditoverføring eller debetoverføring.

Telenors Teletorg-tjeneste er et eksempel på hvordan en akkumuleringssentral kan fungere. Her har man selgere av «informasjon» i form av spåkoner og værmeldinger, og man har kjøpere i form av Telenors abonnenter. Hver gang Per ringer et 820-nummer sørger Teletorget for å registrere hvor mye han bruker tjenesten for, og hvilken tjeneste han bruker. En gang i kvartalet regnes det ut hvor mye Per har brukt for, og han sendes en regning. Samtidig regnes det ut hvor mye hver informasjons­leverandør har tjent, og man utbetaler tilgodehavende etter at akkumuleringssentralen har trukket fra sin andel.

De akkumuleringssentraler som nå er i ferd med å etablere seg på Internett (Downtown Anywhere, First Virtual Internet Payment System, NetBill, m.fl.) baserer seg på det samme prinsippet, men de ulike løsningene er en god del mer kompliserte, blant annet fordi de skal håndere en verden hvor alle «selgere» også kan være «kjøpere», og fordi man trenger autentiseringstjenester for å sikre seg mot falske bestillinger og mangelfulle leveranser.

For å kunne gjøre bruk av en akkumuleringssentral må både kjøper og selger være knyttet til sentralen. En akkumuleringssentral vil derfor trenge en «kritisk masse» av tilknyttede aktører før den kan fungere. Siden beløpene vil være «bundet opp» i akkumuleringssentralen fra kjøpet gjøres og fram til avregning og oppgjør er det først og fremst handel med småbeløp som akkumulerings­sentralen egner seg for. «Mange bekker små ...» osv. innebærer imidlertid at de som driver en akkumuleringssentral kan få hånd om store verdier som akkumuleres i systemet. Brukerne vil ha behov for at disse verdiene forvaltes på en betryggende måte (jfr. Effex). Før det kommer på plass lovregulering som garanterer for at verdiene forvaltes på en betryggende måte vil slike sentraler sannsynligvis få problemer med å vinne aksept i markedet.

Fase 3: Elektroniske kontanter

Elektroniske kontanter (e-kontanter) er et digitalt motstykke til virkelige kontanter. Når du har dem kan du bruke dem, og når du har gitt dem fra deg kan mottakeren bruke dem. Det finnes altså ingen sentral flaskehals som avregner mellom aktørene. I stedet sirkulerer e-kontantene fritt som gyldig betalingsmiddel på nettet etter at de har blitt utstedt.

E-kontanter minner mye om småpengekort slik vi kjenner dem fra kantiner og korttelefoner. Forskjellen er at mens verdien i de fleste småpengekortene er knyttet til en helt begrenset tjeneste (f.eks. et visst antall tellerskritt), er e-kontantene et generelt betalingsmiddel; og mens småpengekortene bare kan brukes som betaling, kan man både motta og betale med e-penger.

Det mest kjente eksemplet på e-kontanter er David Chaums DigiCash, som for tiden prøves ut som betalingsmiddel i WWW. DigiCash er basert på at det finnes en sentralbank med rett til å utstede e-kontanter, og at de e-kontantene den utsteder faktisk aksepteres som betalingsmiddel på nettet (akkurat som vi i Norge har såpass tiltro til Norges Bank at vi uten å blunke aksepterer norske kroner i all kjøp og salg). Man kjøper seg altså DigiCash fra denne sentralbanken (med «ordentlige» penger), og får da digitale mynter som er gangbar valuta for innkjøp på nettet. Når man i en transaksjon på nettet mottar e-kontanter kan man enten beholde dem på sin egen PC, eller man kan via denne banken få byttet dem tilbake til «ordentlige penger».

Et annet eksempel er Mondex, en elektronisk lommebok utviklet av engelske National Westminster Bank. Mondex er sterkt knyttet til smartkort-teknologi, og tilbyr bl.a. mekanismer som lar brukere overføre e-kontanter fra en elektronisk lommebok (dvs. smartkort) til en annen. Gruppen bak Mondex tror at en smartkortleser ganske snart kommer til å være en integrert del av enhver PC, og at betaling over Internett da rett og slett vil dreie seg om å koble sammen to slike smartkortlesere over Internett og overføre penger.

Fordelen med e-kontanter er at teknologien er svært godt tilpasset den desentraliserte Internett-filosofien. Når e-kontantene er kommet i omløp kan de leve sitt eget liv, og betalingstransaksjoner kan gjennomføres mellom kjøper og selger uten å gå via en eller flere betalingsformidlere (som f.eks. banker). Transaksjonskostnadene med å overføre e-kontanter er lave. Videre er e-kontanter like anonyme som virkelige penger. E-kontanter har ingen historie, verken om hvem som har eid dem, eller hva de har blitt brukt til. Derfor finnes det ingen elektroniske «spor» av den typen som etterlates ved bruk av betalingskort og ymse andre elektroniske betalingstjenester. Ulempen er imidlertid at disse kontantene er like sårbare som «virkelige» kontanter. De kan både stjeles, mistes og ødelegges. For at e-kontanter skal godtas som gyldig betalingsmiddel må imidlertid deltagelsen fra etablerte finansinstutisjoner bli større enn tilfellet er i dag. Dersom man skal gi en eller flere aktører rett til «trykke» e-kontanter kreves også en grenseoppgang mot de tradisjonelle sentralbankenes rolle, og garantier som sikrer mot misbruk av et såpass vidtrekkende privilegium. Disse tekniske og politiske problemene er ikke uoverstigelige, men de vil sørge for at det vil gå minst et par år før denne teknologien kan brukes i andre sammenhenger enn pilotprosjekter.

Hva vil skje?

Betaling ordnet helt på siden av nettet vil relativt snart bli supplert og deretter avløst av løsninger som bygger på sikre overføringskanaler og elektronisk formidling av betalingsinstruks. Teknologien for debetoverføring finnes, og slike systemer finnes allerede i drift flere steder på Internett. Fra midten av 1996 vil disse bli avløst av sikrere systemer basert på kreditoverføring. Slike systemer har imidlertid for høye transaksjonskostnader til å være regningssvarende ved handel med småbeløp (under 50 kr). For slik handel vil akkumuleringssentraler bli tilgjengelig, sannsynligvis allerede i 1996. I første rekke vil det dreie seg om enkle og klart avgrensede akkumuleringssentraler som bare betjener en enkelt tjenesteleverandørs egne brukere, annonsører og innholdspartnere. Dersom man klarer å løse de organisatoriske og juridiske spørsmål knyttet til slik virksomhet kan det hende at vi også vil få se mer generelle akkumuleringssentraler etter mønster av First Virtual Internet Payment System.

På lenger sikt (fra rundt år 2000) vil imidlertid bruken av e-kontanter bli den løsningen som vinner fram. Det gjenstår riktig nok en del arbeid før denne teknologien er robust og fleksibel nok til at den kan brukes i stor skala, men enten man er opptatt av kostnadene med betalingstransaksjonene eller personvern framstår e-kontanter i et attraktivt lys, og innen år 2003 vil nok dette være den foretrukne teknologien for dem som vil ta seg betalt i kyberrommet.

Kilder:

Olav Torvund (1993): Betalingsformidling i et rettslig perspektiv, Tano.

NOU (1994): Finansavtaler og finansoppdrag, NOU 1994:19.

NR (1995): INFOBET - State of the art innen betalingssystemer for salg av elektroniske informasjonstjenester på globale nett, Norsk Regnesentral.

IQPC (1995): International Financial Services on the Internet, London, september 1995.

---

Først publisert i: Telecom Revy, 1995
Copyright © 1995 Gisle Hannemyr & Eline Vedel. Noen rettigheter reservert.
Dette verk gjøres tilgjengelig under en Creative Commons Attribution-NonCommercial-ShareAlike 2.5 License.

---